仮想通貨手数料還付プラットフォーム - ヘイモアロゴ

仮想通貨ニュース

暗号を盗むマルウェア、数百万人が使用するJavaScriptのコア・ライブラリに侵入

2025-09-10 07:05

Crypto-Stealing Malware Infiltrates Core JavaScript Libraries Used by Millions

開発者「qix」のNPM(node packet manager)アカウントが侵害され、ハッカーが彼のパッケージの悪意あるバージョンを公開できるようになった。攻撃者は、基本的なユーティリティを含む、非常に人気のある数十のJavaScriptパッケージの悪意のあるバージョンを公開した。影響を受けたパッケージの週間ダウンロード数は合わせて10億を超えるため、このハッキングは大規模なものだった。ソフトウェアのサプライチェーンに対するこの攻撃は、特にJavaScript/Node.jsのエコシステムを標的としている。NPMサプライチェーン攻撃 人気の開発者qixがフィッシングの被害にあった。npmパッケージに注入された悪意のあるコードは、署名時の暗号トランザクションをハイジャックする。攻撃方法- ウォレット関数をフック(リクエスト/送信) - ETH/SOLトランザクションの受信者アドレスをスワップ - 置換... pic.twitter.com/Jn9H4HWP8v - Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) September 8, 2025 暗号クリッパーマルウェア 悪質なコードは、ネットワークリクエストでウォレットアドレスをスワップし、暗号トランザクションを直接ハイジャックすることで暗号通貨を盗むように設計された「暗号クリッパー」でした。また、検知を回避するため、高度に難読化されていた。暗号を盗むマルウェアには2つの攻撃ベクトルがある。暗号ウォレット拡張機能が見つからない場合、マルウェアはブラウザのネイティブなフェッチ機能とHTTPリクエスト機能を攻撃者が所有するウォレット・アドレスの広範なリストに置き換えることで、すべてのネットワーク・トラフィックを傍受する。洗練されたアドレスのスワッピングを使用して、正規のものと視覚的に似ている置換アドレスを見つけるアルゴリズムを採用し、詐欺行為を肉眼で発見することをほぼ不可能にしている、とサイバーセキュリティ研究者は述べている。暗号ウォレットが見つかると、マルウェアは署名する前にトランザクションを傍受し、ユーザーがトランザクションを開始すると、メモリ内でそれを変更して攻撃者のアドレスに資金をリダイレクトする。この攻撃は「chalk」、「strip-ansi」、「color-convert」、「color-name」といったパッケージを標的としており、これらは無数のプロジェクトの依存関係ツリーの奥深くに埋もれている中核的なビルディングブロックである。この攻撃は、マルウェアがfetch関数を使用してデータを流出させようとした際に、ビルドパイプラインが「fetch is not defined(fetchが定義されていません)」というエラーで失敗した際に偶然発見された。「ハードウェア・ウォレットを使用している場合は、署名する前にすべてのトランザクションに注意を払えば安全です。ハードウェア・ウォレットを使用していない場合は、オンチェーンでの取引を控えてください」とLedgerのCEOであるCharles Guillemet氏はアドバイスしている。現在のnpmハックの説明 このハックされた依存関係を使用しているウェブサイトでは、ハッカーに悪意のあるコードを注入する機会を与えています。例えば、ウェブサイト上で「スワップ」ボタンをクリックすると、コードはあなたのウォレットに送信されるtxを、お金を送るtxに置き換えるかもしれません... - 0xngmi (@0xngmi) 2025年9月8日 広範な攻撃ベクトル マルウェアのペイロードは特に暗号通貨をターゲットにしていますが、攻撃ベクトルははるかに広範です。ブラウザで動作するウェブアプリケーション、デスクトップアプリケーション、サーバーサイドのNode.jsアプリケーション、JavaScriptフレームワークを使用するモバイルアプリなど、JavaScript/Node.jsアプリケーションを実行するあらゆる環境に影響を及ぼす。つまり、通常のビジネス用ウェブ・アプリケーションは、無意識のうちにこれらの悪意のあるパッケージを含んでいる可能性があるが、マルウェアが起動するのは、ユーザーがそのサイトで暗号通貨とやりとりするときだけなのだ。UniswapとBlockstreamは、自分たちのシステムが危険にさらされていないことをユーザーにいち早く知らせた。NPMサプライチェーン攻撃の報道について:Uniswapのアプリは危険にさらされていません 私たちのチームは、影響を受けるパッケージの脆弱なバージョンを使用していないことを確認しています 常に警戒してください - Uniswap Labs (@Uniswap) September 8, 2025 The post Crypto-Stealing Malware Infiltrates Core JavaScript Libraries Used by Millions appeared first on CryptoPotato .

https://cryptopotato.com/crypto-stealing-malware-infiltrates-core-javascript-libraries-used-by-millions/